PCI-DSS 4.0 llegará antes de lo que cree, y es una oportunidad para aumentar la resistencia cibernética de su organización.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
